Descargar para leer sin conexión
Subido porDavid Thomas
Remaiten malware
Este documento describe el malware Linux/Remaiten, un bot que combina las capacidades de Tsunamis y Gafgyt y ofrece mejoras y nuevas características. El malware utiliza escaneos de telnet para infectar dispositivos vulnerables y descargar ejecutables de bots para varias arquitecturas de CPU. Luego intenta determinar la arquitectura del dispositivo víctima y transferir sólo el descargador apropiado para crear otro bot.
Remaiten malware
- 1. WEBIMPRINTS Empresa de pruebasde penetración Empresa de seguridad informática http://www.webimprints.com/seguridad-informatica.html Linux/Remaiten Malware
- 2. Linux/Remaiten Malware Según Webimprintsuna empresa de pruebas de penetración, Un bot que combina las capacidades de Tsunamis (también conocido como Kaiten) y Gafgyt. También ofrece algunas mejoras, así como un par de nuevas características. Sobre la base de los artefactos encontrados en el código, los autores llaman a este nuevo malware " KTN-Remastered" o "KTN-RM".Una característica destacada de Linux/Gafgyt es el escaneo de telnet. Cuando reciba instrucciones para realizar la exploración de telnet, intenta conectarse a direcciones IP aleatorias accesible desde Internet en el puerto 23.
- 3. Según expertos depruebas de penetración, si la conexión se realiza correctamente, se tratará de adivinar las credenciales de acceso de una lista de combinaciones de nombre de usuario / contraseña. Si se conecta con éxito, emite un comando de shell para descargar bot ejecutables para varias arquitecturas e intenta ejecutarlos. Este es una sencilla aunque ruidosa forma de infectar nuevas víctimas, ya que es probable que uno de los binarios se ejecutará en la arquitectura corriendo. Como funciona Linux/Remaiten Malware
- 4. Linux/Remaiten mejora sobreeste mecanismo de difusión por llevar ejecutables para arquitecturas de CPU que se utilizan comúnmente en dispositivos embebidos Linux como ARM y MIPS. Después de iniciar sesión a través del indicador de telnet del dispositivo, intenta determinar la nueva plataforma de dispositivo de víctima y transferir sólo el descargador apropiado. El trabajo de este descargador es solicitar la arquitectura apropiada para Linux/Remaiten bot binario desde el servidor de C&C comenta Mike Stevens profesional de empresa de seguridad informática. Como funciona Linux/Remaiten Malware
- 5. Comenta Mike Stevensde empresa de seguridad informática que Este archivo binario se ejecuta entonces en el nuevo dispositivo, creando otro bot para los hackers.Los descargadores de Linux/Remaiten son pequeños ejecutables ELF incrustados en el propio binario bot. Cuando se ejecuta en el dispositivo de la víctima, que se conectan al servidor de C & C del robot y enviar uno de estos comandos: Mips Mipsel Armeabi Armebeabi Linux/Remaiten Malware
- 6. Antes de reanudarel escaneo de telnet, el bot informa al servidor C & C de su progreso. Se envía la dirección IP del nuevo dispositivo de víctima, el éxito de usuario y contraseña par, y si se infecta el otro dispositivo o no. El C & C responderán con un binario ELF bot para la arquitectura requerida. Tenga en cuenta que el puerto TCP utilizado para conectar con el servidor C & C es diferente del servidor IRC del bot. Hay una lista de C & C de direcciones IP del servidor codificado en los binarios de bots. Uno es escogido al azar y el robot se conecta a él en un puerto codificado. El puerto cambia de una variante a otra menciono Mike Stevens de empresa de seguridad informática. Linux/Remaiten Malware
- 7. CONTACTO www.webimprints.com 538 Homero# 303 Polanco, México D.F 11570 México México Tel: (55) 9183-5420 DUBAI 702, Smart Heights Tower, Dubai Sixth Floor, Aggarwal Cyber Tower 1 Netaji Subhash Place, Delhi NCR, 110034 India India Tel: +91 11 4556 6845